Nacido a principios de 2016 y repuntando en los últimos días, LeakerLocker amenaza con mandar tu información personal (fotos, números, mensajes…) a todos tus contactos si no pagas un rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en Google Play.

Bajo los nombres Wallpapers Blur HD, Booster & Cleaner Pro, y Calls Recorder, se encontraba en Google Play hasta hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus contactos tus fotos, números de teléfono, mensajes de Facebook, correos electrónicos… Si no pagas una modesta cantidad. O al menos eso es lo que dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la ejecución de código arbitrario descargado de los servidores del atacante.

La línea temporal de este malware no es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una aplicación legítima en Google Play. Segundo, recopila la información personal e información sobre el uso del dispositivo. Finalmente, y tras varias comprobaciones que comentamos a continuación, descarga código adicional de servidores del atacante y lo ejecuta. En este código se pueden observar funciones relacionadas con la apertura, gestión e intercepción de datos de WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para suplantar la identidad de aplicaciones legítimas y capturar sus credenciales. Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no permitir su uso hasta el pago) no realiza más actividades maliciosas.

Una de las funcionalidades más interesantes de este malware es la lista de comprobaciones que realiza para permitir su propia ejecución. A priori, uno puede pensar que, una vez infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien sería interesante que no se ejecutase en condiciones de laboratorio (cuando se analiza el malware) para evitar su detección intencionada por expertos. Entre otras, realiza las siguientes comprobaciones:

  1. Hay más de 10 contactos y más de 10 fotos
  2. Constan 3 o más registros de llamadas
  3. La aplicación se ha descargado a través de Google Play

Adicionalmente, la parte principal del malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es una contramedida contra técnicas de análisis automático.

Para evitar infectarse con este tipo de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el usuario de a pie:

No instalar aplicaciones que usen la imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con el icono de WhatsApp)

Comprobar que los permisos que pide la aplicación para instalarse tienen sentido (una aplicación de una linterna que pide permiso para usar el micrófono, sospechoso…)

Comprobar los comentarios negativos, a veces avisar que es malware o incluso que la aplicación no funciona (hay mucho malware muy mal programado…)

No instalar aplicaciones que prometen funcionalidad maligna (hacer trampas en un juego o “hackear” WhatsApp, si es que te mereces la infección…)

Más información:

Fuente: Hispasec

Anuncios